PHPChina 开源社区门户-q�g�g�`�C�~9G s9d1_/^
问题起源:想做一个面向校园的网站,因为势单力薄。部分模块采用整合其它系统的方案,比如BBS系统和BLOG系统。首先面临的 就是用户身份认证的方式。由于这些不是自己开发的系统,都分别有自己的用户系统,于是面临统一身份认证的过程。
�_#z/I�|�|�{%^0PHPChina 开源社区门户�d�M'[1q$f'A$t Y+@
以前看过企业级的Web service方案,主要是通过,SOAP,WSDL 和UDDI来实现。将应用服务都注册到UDDI服务器中,通过SOAP协议使用XML传递信息(当然需经过加密)。由于涉及到很多服务部署的问题,用 JAVA来做这样的项目肯定是再好不过的了。我的目的只是几个WEB系统的整合,肯定是要排除这么伟大的方案了。关于Web service有兴趣的朋友可以参考机械工业出版社出版的《Web Servides原理与研发实践》,里面有详细的介绍。
7a�e)C�O8i*p0PHPChina 开源社区门户)c,a�^�I�p�r;v
那么对于这样的小WEB系统的整合 该怎么来实现?我们假设这是个从零开始的项目,除了自己开发的系统外,还要用到一些其它组织开发的开源系统:比如BLOG,CMS,BBS。这些系统都有 各自的用户系统。要把他们整合到一块有个原则,就是尽量不要破坏或者修改这些系统。那么要实现统一身份认证,我们必须要有一个用户信息库,然后吧这个的信 息映射到那些子系统的数据库中,在大型项目中,一般都会独立出一台单独的用户信息服务器,大部分高校采用LDAP来存放用户信息,因为采用的是树状结构, 对经常读取但很少修改的数据而言,它的性能是很高的。
�w�e5L�_9C%S�V�m0PHPChina 开源社区门户&B�l1k�s)n�q4t
LDAP用户库和各子系统用户库的映射有很多种,我这里只用最简单的直接映射,也就是帐号和密码都是相同的。PHPChina 开源社区门户�_�V�f0z�X?@
PHPChina 开源社区门户�u�d y0Y)l�J�d
假设我的域名部署如下
�M;|�C(?�n�V!b2W0
d�]�O�P3D�^�F0http://news.domain.com 这是CMS系统的域名
5_"D9O6\ ~8s2Q�u0PHPChina 开源社区门户+V�R's7w�K!M
http://bbs.domain.com 这是论坛的域名
�X?m)p�E-V1G0
�u'Z�f�i�T+o0http://blog.domain.com 这是博客域名PHPChina 开源社区门户2Z�C�M&j/P6S
PHPChina 开源社区门户!e*o�i._�n+`�O9c�a#p
http://reg.domain.com 这是统一注册和登录页面的域名PHPChina 开源社区门户�w&B�Q�r�@ p#F/g'S�e�j
首先是注册,我们让所有子系统注册页面都转向到一个注册页面上来(各种脚本语言都有转向函数),比如说当用 户希望在http://blog.domain.com/reg.php注册是,reg.php把这个请求转向到http: //reg.domain.com/reg.php.
�K�m�Z7W?a [0
�J!_ \�_�i�w8i-K0在实现注册时,由于刚开始时候子系统并不多,注册时把用户注 册信息写入主用户数据库的同时写入各子系统的用户库。以后若有新的子系统加入进来时可以通过帐号xx的方式来实现新系统的帐号xx。
7Q i u,l?~0
!e4v�]�X�Z�M�@�W0用户登录的过程,可以参考如下来自IBM的图片
�R(N$j$Z�M#D0
,I�u/I�Q F0
8l ]�_�\�U�K.y�a�g0PHPChina 开源社区门户�~�r3Y$X#U�w�g
#u"N�L�h�m,S+T0
�v9l�v.O'{0PHPChina 开源社区门户'I�O�]1l�F4~
PHPChina 开源社区门户�`4V�t�m&y�h3U m5O
流程描述如下:(仅描述正常流程)
�a�u/[ c9c0
�l�^�F#M#[�P�R�Q6J!m7Z�c01. 用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息,比如数字签名等)登陆统一认证服务;PHPChina 开源社区门户;\'O�a X�I%g
PHPChina 开源社区门户!d�b8~�R(M
2. 统一认证服务创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户;PHPChina 开源社区门户+Y�g5n�R1T9z�B�q
PHPChina 开源社区门户 q�g�~?j5c�X9A c
3. 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;PHPChina 开源社区门户�M�u0c8],F$]
PHPChina 开源社区门户/V�h%J�x�^
4. 该应用系统将访问认证令牌传入统一身份认证服务,认证访问认证令牌的有效性;
�S�c n'v3^-E�D�q0
�K/d4a�r9L"h�o05. 统一身份认证服务确认认证令牌的有效性;
�a�y:i�E?q0
�g�N*B�q1Y8q�o06. 应用系统接收访问,并返回访问结果,如果需要提高访问效率的话,应用系统可选择返回其自身的认证令牌已使得用户之后可以使用这个私有令牌持续访问。
C�l�F)y�}�w5q�U0
�V�V�~:^�b%C)N0上面所说的令牌我在WEB引用中可以用 COOKIE或者SEESION来实现。
*x�N;q+n�U�[#L,L/@0PHPChina 开源社区门户0k�X�F!Y7B�O�C$u�{7^
例如通过COOKIE来实现
�[�b�^�h*d*n0PHPChina 开源社区门户 p2b�l�\�w
1.用户在统一登录页登陆,通过查询主用户数据库判断用户是 否合法,若是,则注册该用户的{wy}COOKIE标识(可以通过加密用户名和密码得到,网上有很多算法)。
�t�V,A+B�_0
�I�j H A�|�M02.用户进入某子系统时,先判断COOKIE是否注册,若注册了,则解密 该COOKIE得到用户名和帐号,并判断合法性。PHPChina 开源社区门户�M E�q�I�S�Q�|�I;{
F�q)N-D5z03.如果合法,则立刻在该子系统中注册(可在原子系统的登录脚本 种抽出登录的部分做成一个函数)
I6F"L,{�P�|4i$O�I�U�]0
�|�r ?�V0S�z#L�h0使用COOKIE的优点就是简单,只要设置一下就可以实现 COOKIE的跨子域传递PHPChina 开源社区门户�o�`�R1r+B _
PHPChina 开源社区门户7Q�J#@7q/_7k8j�W"x
例如
Y5Q;s8`�\�e*G)R-[ w0
&F!p Z�E�l�E�u0setcookie(NC_USER_COOKIE, 用户名, 失效时间, 作用路径, ‘.domain.com’);
&O�i(d/`�D!B/j�{0
�]$X)W�L/n m�E8l0就能实现在所有.domain.com子域下的传递。
�k�D�E2Z:Q�l)Z o�A%I0PHPChina 开源社区门户:D N5a'T8v�n�F
但COOKIE也有他的缺点,首先就是安全级别不高,要提防COOKIE劫持的威胁,其次就是它只能跨子域传 递,而不能跨xx不同的域。比如说domain.com和fuck.com之间就不能传递。
0N�d�A1@�o0PHPChina 开源社区门户�b�?�D�V.P�j�Z Q�h
然后再说下SESSION的方式,由于SESSION是存储在服务器端 的,所以安全级别肯定要比COOKIE的级别高。但是由于SEESION存储的位置不同,造成了无法跨域传递。可以通过把SEESION村入数据库来解决 这个问题。PHPChina 开源社区门户 j%n�q�o&{�u�a
PHPChina 开源社区门户,Z:^�M"?&?�T,{�E.u"L*o"t�d
由 于的SESSION需要用到标识SESSION的 COOKIE,所以需要设置下COOKIE的作用域PHPChina 开源社区门户!_�I*D�g"f.V7q�R
�P�v;o�Z M)C�y�T�c0ini_set(’session.cookie_domain’, ‘.domian.com’);
/S�M�B0K�]2L7z:o�C�a0
�[-h"b�K�X4N9W i?_3t Q�s0然后重写PHP的SESSION操作函数。
�L%}�x*{�c0h�e$u�B9]?S0PHPChina 开源社区门户�F+e�f#L�H;r
PHP 提供了session_set_save_handle() 函数来自定义 SESSION 的处理过程,先将 session.save_handler 改成 userPHPChina 开源社区门户�E(T0w5z%e&p�r�`�a#t
PHPChina 开源社区门户8y�~�Y�^?u�R�V7O'h�L
session_module_name(‘user’);
�f0R%S�x1?�K m.J$Z0PHPChina 开源社区门户�h�u�X�H9C9W�y5o1p
然后几可以重写SESSION的操作了,下面是PHP牛人NIO写的SESSION操作PHPChina 开源社区门户.E�s�V$R�^�a�G
PHPChina 开源社区门户%_7\1M�A!A�?&m/q,j
define(‘MY_SESS_TIME’, 3600); //SESSION 生存时长
T,^?s�]�w�{0//类定义
�p�n;`4P'Z�^9Q K's9V0class My_SessPHPChina 开源社区门户�N A:F(y;p
{
�c�B�]�p#q+G8`0 function init()
�\�L�@�z$|"l?k�G0 {PHPChina 开源社区门户�W�M Z4q�w�r(Q�H a�y
$domain = ‘.infor96.com’;
#?�z�`�U's�d�J3F2J�_0 //不使用 GET/POST 变量方式
�n�l&K&i3P0 ini_set(’session.use_trans_sid’, 0);PHPChina 开源社区门户6Z!T X ~7Y O%V"Z�\
//设置垃圾回收{zd0}生存时间
�{0P�o�H�L�D�^�\�p0 ini_set(’session.gc_maxlifetime’, MY_SESS_TIME);
9O8@�o"Y�c�U!Z?t0PHPChina 开源社区门户8B�b [�_ v�n3m�h�o%V"v
//使用 COOKIE 保存 SESSION ID 的方式PHPChina 开源社区门户5z.p.E�T�g
ini_set(’session.use_cookies’, 1);
�H5C�o�w1\7g0 ini_set(’session.cookie_path’, ‘/’);
*e�R�F�K�N?X0 //多主机共享保存 SESSION ID 的 COOKIEPHPChina 开源社区门户�y-]�j8X6^�p*T�y
ini_set(’session.cookie_domain’, $domain);
#D;|.G�w�S |�R�y0PHPChina 开源社区门户0d�Q({�U�w�R#s�{4a
//将 session.save_handler 设置为 user,而不是默认的 filesPHPChina 开源社区门户�r0Q4j0f�N�n
session_module_name(‘user’);
`-d�}:_�U/E�X�U�_�k0 //定义 SESSION 各项操作所对应的方法名:
x�D�o*D+J;u�_�u&R6v0 session_set_save_handler(
�?�a�p&K B1M%{5t�[0 array(‘My_Sess’, ‘open’), //对应于静态方法 My_Sess::open(),下同。PHPChina 开源社区门户�S�S-?�{ k�t�P
array(‘My_Sess’, ‘close’),
6G7p5S-F C/g�?�]&^�j5S0 array(‘My_Sess’, ‘read’),PHPChina 开源社区门户$d�f�^�a�k/j'x:Q�}4K"k
array(‘My_Sess’, ‘write’),
�_){9K�Y!V(X�p�}&I�r0 array(‘My_Sess’, ‘destroy’),
!p�W4r�P�N�T+x${0 array(‘My_Sess’, ‘gc’)PHPChina 开源社区门户�~�`�M,@�D
);PHPChina 开源社区门户7o�A!X�t?B�{(U&}�X�N
} //end functionPHPChina 开源社区门户�^�p�g$V.g9\�e+Z
)Y2e�b/p/S8X0 function open($save_path, $session_name) {
{.L!k�w:t�m A�r0 return true;
3J�o6z#A�_7C�k�q0 } //end functionPHPChina 开源社区门户�f A!a3Z"S�K,N7L6Q
PHPChina 开源社区门户;t�E?E�M1C�s�~�P�e*A
function close() {
�\5])A�B�f�?0 global $MY_SESS_CONN;
�v�}�r�J�s?t,k�M0PHPChina 开源社区门户1s�Q�p$R-x�E
if ($MY_SESS_CONN) { //关闭数据库连接
�V�f'_%}�W0 $MY_SESS_CONN->Close();PHPChina 开源社区门户�Z/Q�W0Y8e;k#g1a6l�y
}PHPChina 开源社区门户:t�e#R8U�R6]�m�m?[
return true;
�n*y&]0B a0g�x c0 } //end function
2x"A7b3K+l J�]�b&h0PHPChina 开源社区门户-c&t�l�`�K�W$z#k8k�_�y
function read($sesskey) {
�g�}�U)\.q?b0 global $MY_SESS_CONN;
.U�|�W�D7@�h0PHPChina 开源社区门户�S/N�Y/W�@
$sql = ‘SELECT data FROM sess WHERE sesskey=’ . $MY_SESS_CONN->qstr($sesskey) . ‘ AND expiry>=’ . time();PHPChina 开源社区门户�F�p?D�G ^�s:L8p$~�@"b
$rs =& $MY_SESS_CONN->Execute($sql);
�T;j�}/M-t+S5j0 if ($rs) {
'h(I�^5e�J"N M$H�b)o:g�x0 if ($rs->EOF) {PHPChina 开源社区门户�H#t�w%l#N4Z0o)u
return ‘’;
�N�|�S ~/J:V?T0 } else { //读取到对应于 SESSION ID 的 SESSION 数据
�t(C�~){�r�k�E0 $v = $rs->fields[0];PHPChina 开源社区门户"y1Z U�X'N�X
$rs->Close();
,~�a�H4C*j�E/C�C0 return $v;PHPChina 开源社区门户�s�m*{�w�P"h�B
} //end ifPHPChina 开源社区门户�{�x�e9c/z5I
} //end ifPHPChina 开源社区门户�H�R�Q�p'P�W�N
return ‘’;PHPChina 开源社区门户/N�J#u�f�M�B3O.w�n
} //end function
5J�p�}�t�E.b0PHPChina 开源社区门户:w$n&z Y�^1m
function write($sesskey, $data) {
$U�j�f�p�}�l(n9E�t7| l0 global $MY_SESS_CONN;PHPChina 开源社区门户 a;S)n#X+o2f�@;@.q i
�a,e!I9E�j�}0 $qkey = $MY_SESS_CONN->qstr($sesskey);PHPChina 开源社区门户�\�?�X�]:d�c$u*}.k?y
$expiry = time() + My_SESS_TIME; //设置过期时间
�d�g�f#D�c�o�m�K�} Q0y�v0 PHPChina 开源社区门户�y)F�z�v�[�R
//写入 SESSION
�l m#d�O�y�C�e0 $arr = array(PHPChina 开源社区门户�T�g�j+q7W(N9k
’sesskey’ => $qkey,PHPChina 开源社区门户8l�\7r�F�S�M)A�O�A
‘expiry’ => $expiry,
:t�A�u�V�|�H�T�X�y�x0 ‘data’ => $data);
!b(R�G�W�o0 $MY_SESS_CONN->Replace(’sess’, $arr, ’sesskey’, $autoQuote = true);
�f"d u�E�h#m0 return true;
7s�u*O�k�j8^�V�_1c#Z�D2H0 } //end function
j G;c�I�M�Z�y�t0
?�L�r F�J0 function destroy($sesskey) {
�}6T!@4b.\.v0 global $MY_SESS_CONN;PHPChina 开源社区门户4X�Z�A�\�C�@�p�A&O
PHPChina 开源社区门户�n�j*_�j!Z�q�e0f
$sql = ‘DELETE FROM sess WHERE sesskey=’ . $MY_SESS_CONN->qstr($sesskey);PHPChina 开源社区门户/E/c�N2i:W�s;\
$rs =& $MY_SESS_CONN->Execute($sql);PHPChina 开源社区门户�N�z#F�F:e�I8f
return true;
�b1z;`�y�Y!Q,L�~)|0 } //end function
c�[�P"G8L'\�`�U$\0
�F3k$l&[�^�P4E0 function gc($maxlifetime = null) {
/c�f�[�|%l�k�I4J0 global $MY_SESS_CONN;PHPChina 开源社区门户�f*]�H;?+Q�C9x"o�Z6t�R?D3F1C
PHPChina 开源社区门户$Y+p�i0b8Q�H�}�i�x�A
$sql = ‘DELETE FROM sess WHERE expiry. time();
P)X�x&F6L�Z�`�B4D7m5x0 $MY_SESS_CONN->Execute($sql);PHPChina 开源社区门户�R�]�s�x�n�^
//由于经常性的对表 sess 做删除操作,容易产生碎片,PHPChina 开源社区门户�n$f/n�n�N�b3t�A
//所以在垃圾回收中对该表进行优化操作。
5A�T.Q9m�["P�~�q�i0 $sql = ‘OPTIMIZE TABLE sess’;
�V U�O0P2z6g�w"C�?0 $MY_SESS_CONN->Execute($sql);PHPChina 开源社区门户�~1h l*U�H�e�~
return true;PHPChina 开源社区门户3@8y�T�_0m7{
} //end functionPHPChina 开源社区门户�Y1L n+S+R�z(s�}9N
} ///:~
4J Q�R�C�e�r�r�a"n P&X�\0
)q,V,L!s$\0//使用 ADOdb 作为数据库抽象层。PHPChina 开源社区门户 s�t�q4@1[�M�B?w
require_once(‘adodb/adodb.inc.php’);PHPChina 开源社区门户*Z @�v!J�p�l�U!m
//数据库配 置项,可放入配置文件中(如:config.inc.php)。
K d�d*N�~�P�C�B0$db_type = ‘’;PHPChina 开源社区门户%~3z�G!c${�v�i�M6v�L1R
$db_host = ‘192.168.212.1′;PHPChina 开源社区门户!N1_�\%o�X�T+p�D/J
$db_user = ’sess_user’;PHPChina 开源社区门户�}2H+l�U9q;J z4s�v�t�I
$db_pass = ’sess_pass’;
�{:|.T t"O�R?g�@0$db_name = ’sess_db’;
�?�d*w q6A?w*T�c0//创建数据库连接,这是一个全局变量。
+X�b�? r't;M0$GLOBALS[‘MY_SESS_CONN’] =& ADONewConnection($db_type);
�i?c�q�Z2M�k V0$GLOBALS[‘MY_SESS_CONN’]->Connect( $db_host, $db_user, $db_pass, $db_name);PHPChina 开源社区门户'C�{2~5_ ?�a3o
//初始化 SESSION 设置,必须在 session_start() 之前运行!!
'~�x�V#a�y,f p7j0My_Sess::init();PHPChina 开源社区门户,P�_�w�V�G'L
PHPChina 开源社区门户"W�s1E�j�H4N�R�^.w�x基本的原理差不多就这 样,细节方面就看还有很多需要琢磨的地方..
原文:http://www.phpchina.com/html/50/3950-13323.html
